Politique de protection des données personnelles
Dernière mise à jour : 01/10/2025
Le site internet brainsecurity.io (ci-après le « Site »), édité par la société Brain Security SAS (ci-après « Brain Security » ou « nous »), permet d'accéder à la plateforme Brain Security (ci-après la « Plateforme ») destinée aux entreprises et visant à former et sensibiliser les utilisateurs aux risques liés à la cybersécurité par le biais de formations gamifiées, de compétitions et d'événements immersifs (ci-après les « Services de Formation Cyber »).
Dans le cadre de l'accès, la consultation, la navigation et l'utilisation du Site et de la Plateforme, vous êtes amené à communiquer à Brain Security des données personnelles vous concernant.
Nous vous remercions de bien vouloir prendre connaissance de la présente politique, vous expliquant comment vos données personnelles sont utilisées par Brain Security et quels sont vos droits à ce sujet. Cette politique vient compléter les Conditions Générales d'Utilisation, ainsi que tout document ou mention d'information renvoyant à la politique.
Au besoin, vous pouvez poser toutes vos questions directement à Brain Security en envoyant un email à l'adresse suivante : contact@brainsecurity.io.
1. Qui est le responsable de traitement de vos données personnelles ?
1.1 Répartition des responsabilités
Lorsque vous utilisez la Plateforme Brain Security dans le cadre de votre entreprise :
Votre employeur est responsable de traitement des données personnelles collectées et traitées aux fins de la fourniture des Services de Formation Cyber auxquels il a souscrit, notamment pour la formation et la sensibilisation de ses employés aux risques liés à la cybersécurité.
Brain Security est sous-traitant, agissant au nom et pour le compte de votre employeur, des données personnelles collectées et traitées aux fins de la fourniture des Services de Formation Cyber auxquels votre employeur a souscrit.
1.2 Coordonnées du sous-traitant
Brain Security SAS
229 rue Saint-Honoré
75001 Paris, France
SIREN : 918 391 905
Email : contact@brainsecurity.io
Site web : brainsecurity.io
2. Quelles données personnelles vous concernant sont traitées ?
Toutes les données personnelles ont été directement fournies par vous ou votre employeur, ainsi que générées dans le cadre de l'utilisation des Services de Formation Cyber, à savoir :
Données d'identification
Nom
Prénom
Pseudonyme de joueur
Photographie de profil (facultatif)
Coordonnées
Adresse e-mail professionnelle
Numéro de téléphone professionnel (facultatif)
Données professionnelles
Entreprise (nom et secteur)
Fonction
Département
Service
Site/localisation
Données relatives à votre progression dans les formations
Micro-activités complétées
Modules de formation suivis
Scores obtenus aux quiz et exercices
Temps passé sur chaque module
Taux de complétion des formations
Historique des réponses aux questions
Réflexes cyber acquis parmi les 150 réflexes proposés
Données relatives aux compétitions
Classement dans les ligues (Starter, Bronze, Silver, Gold, Master)
Position dans les leaderboards (individuel, équipe, inter-sites, global)
Points et tickets accumulés
Participation aux compétitions internes (CyberCup Entreprise)
Participation aux événements (Competition Online, Competition On-Site)
Scores au Super Quiz Arcade
Récompenses et badges obtenus
Historique des performances
Nombre de runs effectués
Données relatives à la sécurité
Évaluation de la robustesse des mots de passe
Niveau général de sensibilisation à la cybersécurité
Résultats des tests de connaissances
Progression dans les 8 familles de réflexes cyber
Données relatives à vos échanges avec Brain Security
Date et objet de vos échanges
Contenu de vos échanges avec le support client
Communications avec les équipes de Brain Security
Données relatives à votre candidature (le cas échéant)
Toute information fournie dans le cadre d'une candidature à une offre d'emploi au sein de Brain Security
Données de connexion et de navigation
Par ailleurs, certaines données sont automatiquement collectées par le Site via des cookies/traceurs :
Date et heure de connexion
Adresse IP
Terminal utilisé
Navigateur
Système d'exploitation
Géolocalisation approximative
Pages consultées
Parcours sur la Plateforme
Durée des sessions
Traces applicatives
Finalités de ces données automatiques : Ces données sont nécessaires au bon fonctionnement technique du Site et de la Plateforme, ainsi que pour la mesure d'audience, l'amélioration de l'expérience utilisateur et la sécurité du Site. Pour plus d'informations sur les cookies/traceurs, veuillez consulter la section 9 de la présente politique.
Caractère obligatoire ou facultatif des données
Certaines de ces données sont obligatoires, d'autres facultatives pour pouvoir bénéficier pleinement du Site et des Services de Formation Cyber. Le caractère obligatoire ou facultatif des données à renseigner est signalé sur les formulaires de collecte par un astérisque (*).
Si vous refusez de fournir les données obligatoires demandées, Brain Security ne sera pas en mesure de traiter votre demande (ex : création de votre compte, accès aux formations, participation aux compétitions, fourniture des Services de Formation Cyber, etc.).
3. Pourquoi Brain Security utilise vos données personnelles ?
Lorsque vous utilisez la Plateforme Brain Security et que Brain Security intervient en qualité de sous-traitant, vos données personnelles sont traitées uniquement pour les finalités suivantes :
Création et gestion de votre compte professionnel
Créer votre compte sur la Plateforme
Vous authentifier via SSO (Google, Microsoft) ou Magic Link
Gérer vos accès et permissions
Synchroniser votre compte avec les annuaires d'entreprise (Google Workspace, Microsoft Teams)
Fondement juridique utilisé par votre employeur : Intérêt légitime de votre employeur à former et sensibiliser ses employés aux risques de cybersécurité
Fourniture des Services de Formation Cyber
CyberCup Entreprise :
Vous donner accès aux 150 réflexes cyber et aux micro-activités de 3 minutes
Enregistrer votre progression dans les modules TRAIN et COMPETE
Calculer vos scores au Super Quiz Arcade
Vous faire évoluer dans le système de ligues (Starter, Bronze, Silver, Gold, Master)
Établir les leaderboards (individuel, équipe, inter-sites, global)
Distribuer les points et tickets
Gérer les événements CyberCup
Borne d'Arcade :
Permettre votre participation sur les bornes déployées dans vos locaux
Synchroniser vos scores entre la plateforme web et les bornes
Maintenir la cohérence du leaderboard
CyberCup Competition Online :
Vous inscrire aux événements digitaux animés
Enregistrer vos performances lors des sessions live
CyberCup Competition On-Site :
Vous inscrire aux événements physiques
Suivre votre participation aux compétitions sur bornes
Établir les classements en temps réel
Fondement juridique utilisé par votre employeur : Intérêt légitime de votre employeur à protéger ses systèmes d'information et à former ses employés
Reporting et statistiques pour l'employeur
Créer des tableaux de bord de performance
Générer des rapports sur le niveau de sensibilisation des équipes
Établir des statistiques globales et anonymisées
Identifier les besoins en formation
Mesurer la progression collective et individuelle
Évaluer l'efficacité des campagnes de sensibilisation
Fondement juridique utilisé par votre employeur : Intérêt légitime de votre employeur
Support et assistance
Fournir une assistance technique
Répondre aux questions des administrateurs et utilisateurs
Résoudre les problèmes liés à l'utilisation de la Plateforme, des bornes ou des événements
Traiter les demandes d'assistance
Fondement juridique utilisé par votre employeur : Exécution du contrat avec votre employeur
Conformité légale
Respecter les obligations légales et réglementaires
Répondre à vos demandes d'exercice de droits
Gérer les contentieux
Fondement juridique : Obligations légales
Intelligence artificielle
Brain Security peut déployer des fonctionnalités impliquant l'intelligence artificielle afin de :
Personnaliser les parcours de formation selon votre niveau
Générer des contenus adaptés à votre secteur et métier
Adapter la difficulté des exercices et quiz
Recommander des contenus pertinents
Améliorer la détection des comportements à risque
Optimiser l'expérience d'apprentissage
Ces traitements sont réalisés dans le respect de vos droits et de la réglementation applicable.
4. Qui peut avoir accès à vos données personnelles ?
Brain Security et ses employés autorisés
Finalités : Gestion du Site et de la Plateforme, fourniture des Services de Formation Cyber, support technique, maintenance
Votre employeur (responsable de traitement)
Finalités : Pilotage de la sensibilisation cybersécurité, suivi de la progression de ses employés, génération de rapports
Prestataires techniques de Brain Security
Finalités :
Hébergement : Google Cloud (hébergement en France/UE, conformité RGPD)
Services informatiques : Maintenance, mises à jour, sécurité
Analytics : Google Analytics pour la mesure d'audience
Support client : Intercom ou équivalent pour l'assistance en ligne
Services d'authentification
Finalités : Google, Microsoft pour l'authentification SSO des utilisateurs
Partenaires marketing (avec consentement de votre employeur)
Finalités : Google Ads, LinkedIn pour les campagnes de communication institutionnelle
Autorités administratives ou judiciaires
Finalités : Uniquement en cas de demande expresse et motivée ou d'infraction avérée aux dispositions légales
Conseils externes
Finalités : Avocats, auditeurs dans le cadre de la gestion de litiges ou d'audits de conformité
Potentiels acquéreurs
Finalités : En cas de restructuration, acquisition, fusion, vente d'actifs ou transaction similaire impliquant Brain Security
Important
Tous les prestataires et sous-traitants de Brain Security sont contractuellement tenus de respecter la confidentialité et la sécurité de vos données personnelles conformément au RGPD. Brain Security sélectionne ses prestataires avec soin et s'assure qu'ils offrent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
5. Comment Brain Security protège vos données personnelles ?
5.1 Mesures de sécurité techniques et organisationnelles
Brain Security a mis en place des mesures techniques et organisationnelles rigoureuses afin de protéger vos données personnelles contre toute destruction, perte, altération, divulgation ou accès non autorisé, notamment :
Mesures techniques :
Chiffrement des données sensibles (en transit via HTTPS/TLS et au repos via AES-256)
Authentification forte et gestion sécurisée des accès (SSO, Magic Link)
Pare-feu et systèmes de détection d'intrusion
Sauvegardes régulières et sécurisées
Tests de sécurité et audits réguliers
Journalisation des accès et des activités
Protection contre les attaques DDoS et injections
Isolation complète des données clients
Mesures organisationnelles :
Politique de sécurité des systèmes d'information
Formation et sensibilisation des employés à la protection des données
Clauses de confidentialité dans les contrats de travail
Gestion des habilitations et des accès au principe du moindre privilège
Procédures de gestion des incidents de sécurité
Contrôles d'accès physiques aux locaux et aux serveurs
5.2 Hébergement et localisation des données
Toutes vos données sont hébergées en France dans des datacenters Google Cloud certifiés ISO 27001 et HDS. La souveraineté européenne de vos données est garantie. Aucun transfert de données en dehors de l'Union européenne n'est effectué.
5.3 Engagement continu
Ces mesures assurent un niveau de sécurité approprié compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature des données et des risques. Brain Security revoit et met à jour régulièrement ses pratiques de sécurité pour s'adapter aux menaces émergentes.
5.4 Signalement de vulnérabilité ou d'incident
Si vous identifiez une vulnérabilité de sécurité ou si vous souhaitez signaler un incident, nous vous invitons à nous contacter immédiatement à l'adresse suivante : contact@brainsecurity.io.
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, Brain Security s'engage à vous en informer dans les meilleurs délais conformément aux obligations du RGPD.
6. Combien de temps vos données personnelles sont-elles conservées ?
De façon générale, vos données personnelles ne seront conservées que pendant la durée strictement nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées.
6.1 Utilisateurs de la Plateforme Brain Security (entreprises)
Données fournies ou générées dans le cadre de l'utilisation des Services
Durée : Pendant toute la durée de la relation contractuelle entre Brain Security et votre employeur
Après la fin du contrat
Durée : 1 an, puis suppression sur demande expresse de votre employeur ou anonymisation
Historique de progression et scores
Durée : Pendant la durée du contrat + 1 an après résiliation pour permettre une éventuelle réactivation ou analyse historique
Données de facturation (niveau entreprise)
Durée : 10 ans à compter de la clôture de l'exercice comptable (obligation légale)
Données de support client
Durée : Durée du traitement de votre demande + 1 an
Demandes de démonstration
Durée : 3 ans à compter de la démonstration à des fins de prospection commerciale
Données de candidature emploi
Durée : 2 ans à compter de votre dernier contact avec Brain Security, sauf demande de suppression
Cookies et données de navigation
Durée : Jusqu'à 13 mois à compter de leur collecte
Statistiques et rapports agrégés et anonymisés
Durée : Conservation illimitée car anonymisées (ne permettent plus de vous identifier)
6.2 Suppression et anonymisation
Au-delà des durées mentionnées ci-dessus, vos données personnelles sont soit :
Supprimées définitivement de nos systèmes
Anonymisées de manière irréversible (les données anonymisées ne permettent plus de vous identifier et ne sont plus considérées comme des données personnelles)
Archivées de manière sécurisée uniquement si une obligation légale l'impose
7. Quels sont vos droits sur vos données personnelles ?
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez de droits sur vos données personnelles.
7.1 Exercice de vos droits
Pour les utilisateurs de la Plateforme Brain Security (entreprises) :
Vous devez en priorité contacter votre employeur (responsable de traitement). Vous pouvez également contacter Brain Security qui transmettra votre demande à votre employeur.
Contact Brain Security : contact@brainsecurity.io
7.2 Description de vos droits
Droit d'accès
Description : Obtenir la confirmation que vos données sont traitées et accéder à vos données personnelles
Conditions d'exercice : Toujours applicable
Droit de rectification
Description : Obtenir la rectification de vos données inexactes, incomplètes ou obsolètes
Conditions d'exercice : Toujours applicable
Droit à l'effacement (« droit à l'oubli »)
Description : Obtenir l'effacement de vos données dans certains cas
Conditions d'exercice : Applicable si :
Données non nécessaires
Retrait du consentement
Opposition légitime
Traitement illicite
Obligation légale
Droit à la limitation du traitement
Description : Obtenir la limitation temporaire du traitement de vos données
Conditions d'exercice : Applicable si :
Contestation de l'exactitude
Traitement illicite
Données nécessaires pour un recours
Opposition en attente de vérification
Droit à la portabilité
Description : Recevoir vos données dans un format structuré et les transmettre à un autre responsable
Conditions d'exercice : Applicable si :
Traitement automatisé
Fondé sur consentement ou contrat
Techniquement possible
Droit d'opposition
Description : Vous opposer au traitement de vos données
Conditions d'exercice : Applicable pour :
Traitements fondés sur intérêt légitime
Prospection commerciale (toujours)
Recherche scientifique (sous conditions)
Droit de retirer votre consentement
Description : Retirer votre consentement à tout moment
Conditions d'exercice : Applicable pour les traitements fondés sur le consentement
Directives post-mortem
Description : Définir des directives sur le sort de vos données après votre décès
Conditions d'exercice : Toujours applicable
7.3 Modalités d'exercice
Pour exercer vos droits :
Envoyez un email à contact@brainsecurity.io
Indiquez clairement :
Votre identité (nom, prénom, email utilisé sur la Plateforme)
Le(s) droit(s) que vous souhaitez exercer
Toute information nécessaire pour traiter votre demande
Joignez une copie d'un document d'identité si nécessaire pour confirmer votre identité (mesure de sécurité pour protéger vos données)
Délai de réponse
Brain Security s'engage à vous répondre dans un délai d'un (1) mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes (vous en serez informé).
Gratuité
L'exercice de vos droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (notamment répétitives), Brain Security pourra exiger le paiement de frais raisonnables ou refuser de donner suite à la demande.
7.4 Droit de réclamation auprès de la CNIL
Si vous estimez que Brain Security ne respecte pas ses obligations concernant vos données personnelles, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
En ligne : https://www.cnil.fr/fr/plaintes
Par courrier : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Ce droit peut être exercé à tout moment gratuitement (hors frais d'envoi postal si applicable).
8. Données des mineurs en entreprise
Dans le cadre de l'utilisation de la Plateforme Brain Security en environnement professionnel, si un mineur de moins de 18 ans (apprenti, stagiaire, alternant) doit accéder à la Plateforme, cet accès ne peut être réalisé que sous la supervision et la responsabilité de l'entreprise cliente.
L'entreprise cliente est seule responsable du respect des obligations relatives à la protection des données des mineurs, notamment :
Obtenir l'autorisation parentale si nécessaire selon le cadre légal applicable
Assurer la supervision appropriée de l'utilisation de la Plateforme
Informer les parents ou tuteurs légaux de l'utilisation des Services de Formation Cyber
Garantir que seules les données strictement nécessaires sont collectées
Brain Security s'engage à protéger particulièrement les données des mineurs et à ne collecter que les informations strictement nécessaires pour la fourniture des Services de Formation Cyber.
9. Cookies et traceurs
9.1 Qu'est-ce qu'un cookie ?
Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de votre visite sur le Site ou la Plateforme. Les cookies permettent de reconnaître votre navigateur et de collecter des informations sur votre utilisation du Site.
9.2 Types de cookies utilisés
Brain Security utilise différents types de cookies :
Cookies strictement nécessaires
Finalité : Indispensables au fonctionnement du Site (authentification, sécurité, gestion de session)
Durée de conservation : Session ou jusqu'à 13 mois
Base légale : Intérêt légitime (fonctionnement du Site)
Exemples :
Cookies d'authentification (Magic Link, SSO)
Cookies de session
Cookies de sécurité anti-CSRF
Cookies de performance et analytics
Finalité : Mesure d'audience, statistiques de fréquentation, amélioration du Site et de la Plateforme
Durée de conservation : Jusqu'à 13 mois
Base légale : Consentement (via bannière cookies)
Exemples :
Google Analytics (mesure d'audience)
Statistiques d'utilisation des fonctionnalités
Analyse des parcours utilisateurs
Cookies fonctionnels
Finalité : Mémorisation de vos préférences (langue, paramètres d'affichage)
Durée de conservation : Jusqu'à 13 mois
Base légale : Consentement ou intérêt légitime
Exemples :
Langue préférée
Paramètres d'interface
Préférences utilisateur
9.3 Cookies tiers
Le Site et la Plateforme peuvent intégrer des cookies émis par des tiers (partenaires, prestataires), notamment :
Google Analytics : Mesure d'audience et statistiques
Intercom (ou équivalent) : Support client et chat en ligne
Ces cookies tiers sont soumis aux politiques de confidentialité respectives de ces tiers.
9.4 Gestion de vos préférences
Vous pouvez à tout moment gérer vos préférences en matière de cookies :
Via notre bannière de gestion des cookies
Lors de votre première visite, une bannière vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos choix à tout moment en cliquant sur le lien "Gestion des cookies" en bas de page du Site.
Via les paramètres de votre navigateur
Vous pouvez configurer votre navigateur pour :
Accepter tous les cookies
Rejeter tous les cookies
Être informé lors du dépôt d'un cookie et pouvoir le refuser
Note : Le refus des cookies strictement nécessaires peut affecter le fonctionnement du Site et empêcher l'accès à certaines fonctionnalités.
Liens utiles pour gérer les cookies :
Firefox : https://support.mozilla.org/fr/kb/activer-desactiver-cookies
Safari : https://support.apple.com/fr-fr/guide/safari/sfri11471/mac
10. Liens vers des sites tiers
Le Site et la Plateforme peuvent contenir des liens vers des sites web tiers (partenaires, ressources externes, documentation technique).
Brain Security n'est pas responsable des pratiques de confidentialité ou du contenu de ces sites tiers. Nous vous recommandons de lire attentivement les politiques de confidentialité de ces sites avant de leur fournir vos données personnelles.
11. Modifications de la présente politique
La présente politique de protection des données personnelles peut être modifiée et mise à jour par Brain Security à tout moment, notamment en cas d'évolution de la Plateforme, des Services de Formation Cyber, de la réglementation applicable ou de nos pratiques.
Date de dernière mise à jour
La date de dernière mise à jour figure en haut de la présente politique.
Notification des modifications importantes
En cas de modification substantielle, Brain Security vous en informera par email et/ou via une notification sur la Plateforme. Votre utilisation continue de la Plateforme après l'entrée en vigueur des modifications vaut acceptation de la politique révisée.
Recommandation
Nous vous recommandons de consulter régulièrement cette politique pour rester informé de la manière dont nous protégeons vos données personnelles.
12. Nous contacter
Pour toute question concernant la présente politique de protection des données personnelles, pour exercer vos droits ou pour toute demande relative à vos données personnelles, vous pouvez nous contacter :
Brain Security SAS
Délégué à la Protection des Données (DPO)
229 rue Saint-Honoré
75001 Paris, France
Email : contact@brainsecurity.io
Site web : brainsecurity.io
Nous nous engageons à répondre à vos demandes dans les meilleurs délais et au plus tard dans un délai d'un (1) mois à compter de la réception de votre demande.
Cette politique a été établie en conformité avec le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés.
